Aufbewahrungsfristen von personenbezogenen Daten bei Behörden
Der Datenschutz in der Personalverwaltung ist ein kritisches Thema, das Unternehmen sorgfältig beachten müssen, um sowohl gesetzlichen Anforderungen zu entsprechen als auch das Vertrauen ihrer Mitarbeiter zu gewährleisten. Wir beleuchten verschiedene Aspekte, die Unternehmen wissen und beachten sollten:
- Rechtliche Grundlagen
DSGVO (Datenschutz-Grundverordnung): Die DSGVO ist die zentrale Rechtsvorschrift in der EU, die den Umgang mit personenbezogenen Daten regelt. Unternehmen müssen sicherstellen, dass sie die Prinzipien der DSGVO einhalten, einschließlich Transparenz, Zweckbindung, Datenminimierung und Integrität und Vertraulichkeit.
BDSG (Bundesdatenschutzgesetz): In Deutschland ergänzt das BDSG die DSGVO und enthält spezifische Regelungen zum Beschäftigtendatenschutz.
- Erhebung und Verarbeitung von Daten
Rechtsgrundlagen: Unternehmen dürfen personenbezogene Daten nur auf Basis einer gesetzlichen Grundlage verarbeiten. In der Personalverwaltung sind dies oft die Vertragserfüllung, berechtigte Interessen oder die Einwilligung der betroffenen Personen.
Zweckbindung: Daten dürfen nur für den spezifischen Zweck verwendet werden, für den sie erhoben wurden. Beispielsweise dürfen Gesundheitsdaten nur zur Beurteilung der Arbeitsfähigkeit und nicht für andere Zwecke genutzt werden.
- Einwilligung der Mitarbeiter
Freiwilligkeit: Eine Einwilligung muss freiwillig, informiert und eindeutig sein. Sie darf nicht unter Druck oder Zwang eingeholt werden.
Widerruf: Mitarbeiter haben das Recht, ihre Einwilligung jederzeit zu widerrufen. Unternehmen müssen sicherstellen, dass die betroffenen Daten dann nicht weiterverarbeitet werden, es sei denn, dass anderweitige gesetzliche Pflichten zur Verarbeitung der Daten bestehen. In Konfliktfällen muss deshalb das Recht auf Widerruf abgewogen werden mit den gesetzlichen Anforderungen, die das Arbeitsverhältnis mit sich bringen.
- Transparenz und Informationspflichten
Informationspflicht: Unternehmen müssen Mitarbeiter darüber informieren, welche Daten zu welchem Zweck verarbeitet werden, wer die Verantwortlichen sind und welche Rechte die Mitarbeiter haben.
Datenschutzerklärung: Eine umfassende Datenschutzerklärung sollte den Mitarbeitern zugänglich gemacht werden, z.B. im Intranet oder als Teil des Arbeitsvertrages.
- Datensicherheit
Technische und organisatorische Maßnahmen (TOM): Unternehmen müssen geeignete Maßnahmen treffen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu schützen. Dazu gehören Zugangskontrollen, Verschlüsselung und regelmäßige Sicherheitsüberprüfungen.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Unternehmen sollten von Anfang an datenschutzfreundliche Technologien und Prozesse implementieren.
- Rechte der Mitarbeiter
Auskunftsrecht: Mitarbeiter haben das Recht zu erfahren, welche Daten über sie gespeichert sind.
Recht auf Berichtigung: Falsche oder unvollständige Daten müssen auf Antrag des Mitarbeiters berichtigt werden.
Recht auf Löschung: Unter bestimmten Umständen haben Mitarbeiter das Recht, die Löschung ihrer Daten zu verlangen (z.B. wenn die Daten für die ursprünglichen Zwecke nicht mehr benötigt werden).
Widerspruchsrecht: Mitarbeiter können der Verarbeitung ihrer Daten unter bestimmten Voraussetzungen widersprechen.
- Datenübermittlung
Weitergabe von Daten: Eine Übermittlung personenbezogener Daten an Dritte darf nur unter strengen Bedingungen erfolgen, z.B. wenn dies gesetzlich vorgeschrieben ist oder die Einwilligung des Mitarbeiters vorliegt.
Datenübermittlung in Drittländer: Die Übermittlung von Daten in Länder außerhalb der EU ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.
- Dokumentation und Nachweispflichten
Verzeichnis von Verarbeitungstätigkeiten: Unternehmen müssen ein Verzeichnis der Verarbeitungstätigkeiten führen, in dem sie alle relevanten Informationen zur Datenverarbeitung dokumentieren.
Nachweis der Einhaltung der DSGVO: Unternehmen müssen in der Lage sein, die Einhaltung der DSGVO nachzuweisen, z.B. durch regelmäßige Datenschutz-Audits und Schulungen der Mitarbeiter.
- Schulungen und Sensibilisierung
Regelmäßige Schulungen: Mitarbeiter sollten regelmäßig zum Thema Datenschutz geschult werden, um sicherzustellen, dass sie die gesetzlichen Anforderungen kennen und einhalten.
Sensibilisierung: Eine Kultur des Datenschutzes sollte im gesamten Unternehmen gefördert werden, um das Bewusstsein für Datenschutzfragen zu stärken.
- Datenschutzbeauftragter
Benennung eines Datenschutzbeauftragten: Ab einer bestimmten Unternehmensgröße oder bei besonders sensiblen Datenverarbeitungen muss ein Datenschutzbeauftragter benannt werden, der die Einhaltung der Datenschutzvorschriften überwacht und als Ansprechpartner für Mitarbeiter und Behörden dient.
Haben Sie Fragen zum Datenschutz in der Personalverwaltung oder allgemeine Fragen zum Datenschutz?
Regio Datenschutz – Ihr Ansprechpartner in der Regio, Lörrach, Freiburg, Basel und Umgebung. Schreiben Sie uns:
